通过实施网络安全方法,保护 OT、物联网(IoT)和工业物联网(IIoT)资产
本指南为您提供使用网络安全服务帮助保护 OT 基础设施的指导。随着 OT 数字应用的增加,OT 和 IoT 技术也在不断融合。然而,OT 网络越复杂,产生安全漏洞的可能性也越高。借助本指南,您可以实施网络安全方法来抵御恶意攻击,为建立全天候被动监控提供支持,并通过规划预定义的行动来避免可能导致工厂停工的安全漏洞。
请注意:[免责声明]
架构图
[架构图描述]
第 1 步
在 Purdue 模型中,第 0 级指的是物理过程:传感器和执行器、现场设备、电磁阀和电机。第 1 级由可编程逻辑控制器(PLC)、分布式控制系统(DCS)控制器和安全仪表系统(SIS)组成,它们与第 0 级中的机电设备进行接口交互,以提供基本控制。
第 2 步
在第 2 级,DCS 监控与数据采集(SCADA)系统、人机界面(HMI)对制造过程进行控制和监控。您可以安装一个或多个 Claroty xDome 收集服务器,通过网络流量接入点(TAP)上现有网络交换机的镜像端口从控制系统网络收集数据。要主动发现设备,可以部署 Claroty Edge。
第 3 步
第 3 级包括历史记录器、工程工作站和其他管理制造运营的系统。一台 Claroty xDome 收集服务器将通过核心网络上的镜像端口从监控网络收集数据。
第 3.5 级表示将公司网络与工业控制系统(ICS)环境分隔开来的非军事区(DMZ)。一个或多个从第 0 级收集无线传感器数据的 IoT 网关位于防火墙后面。
第 4 步
xDome 收集服务器将网络流量转换为轻量级元数据,然后通过支持 TLS 和 IP 安全(IPsec)协议的加密连接将其转发到 Claroty xDome 软件即服务(SaaS),以进行关联和处理。
第 5 步
Claroty xDome 分析引擎位于 AWS 云上,提供 SaaS 交付的原生安全性,由于具备可扩展性并持续更新,因此具有最新的防护功能和较低的总体拥有成本(TCO)。 每个 Amazon Virtual Private Cloud(Amazon VPC)都可以位于相应的 AWS 区域中,以实现多站点访问。
Claroty xDome 使用 Amazon Elastic Kubernetes Service(Amazon EKS)来提高性能效率,使用 Amazon Relational Database Service(Amazon RDS)实现灾难恢复,使用 Amazon Simple Storage Service(Amazon S3)来存储备份。Amazon ElastiCache 可缓存频繁访问的数据,并缓解流量高峰带来的压力。
第 6 步
Claroty xDome 向 AWS Security Hub 发送事件和漏洞,并使用开放网络安全架构框架(OCSF)直接从本地向 Amazon Security Lake 发送事件。 这些服务可以纳入综合安全运营中心和安全信息与事件管理工作流程(该工作流程整合了 OT 和 IIoT 安全事件数据和操作)。
第 7 步
除了自动化和分析服务(如 Amazon Athena、Amazon OpenSearch Service 和 Amazon SageMaker)外,Security Lake 还可采用 AWS 合作伙伴解决方案,获得有关安全事件的更多见解。
第 1 步
在 Purdue 模型中,第 0 级指的是物理过程:传感器和执行器、现场设备、电磁阀和电机。第 1 级由可编程逻辑控制器(PLC)、分布式控制系统(DCS)控制器和安全仪表系统(SIS)组成,它们与第 0 级中的机电设备进行接口交互,以提供基本控制。
第 2 步
在第 2 级,DCS 监控与数据采集(SCADA)系统、人机界面(HMI)对制造过程进行控制和监控。您可以安装一个或多个 Claroty xDome 收集服务器,通过网络流量接入点(TAP)上现有网络交换机的镜像端口从控制系统网络收集数据。要主动发现设备,可以部署 Claroty Edge。
第 3 步
第 3 级包括历史记录器、工程工作站和其他管理制造运营的系统。一台 Claroty xDome 收集服务器将通过核心网络上的镜像端口从监控网络收集数据。
第 3.5 级表示将公司网络与工业控制系统(ICS)环境分隔开来的非军事区(DMZ)。一个或多个从第 0 级收集无线传感器数据的 IoT 网关位于防火墙后面。
第 4 步
xDome 收集服务器将网络流量转换为轻量级元数据,然后通过支持 TLS 和 IP 安全(IPsec)协议的加密连接将其转发到 Claroty xDome 软件即服务(SaaS),以进行关联和处理。
第 5 步
Claroty xDome 分析引擎位于 AWS 云上,提供 SaaS 交付的原生安全性,由于具备可扩展性并持续更新,因此具有最新的防护功能和较低的总体拥有成本(TCO)。 每个 Amazon Virtual Private Cloud(Amazon VPC)都可以位于相应的 AWS 区域中,以实现多站点访问。
Claroty xDome 使用 Amazon Elastic Kubernetes Service(Amazon EKS)来提高性能效率,使用 Amazon Relational Database Service(Amazon RDS)实现灾难恢复,使用 Amazon Simple Storage Service(Amazon S3)来存储备份。Amazon ElastiCache 可缓存频繁访问的数据,并缓解流量高峰带来的压力。
第 6 步
Claroty xDome 向 AWS Security Hub 发送事件和漏洞,并使用开放网络安全架构框架(OCSF)直接从本地向 Amazon Security Lake 发送事件。 这些服务可以纳入综合安全运营中心和安全信息与事件管理工作流程(该工作流程整合了 OT 和 IIoT 安全事件数据和操作)。
第 7 步
除了自动化和分析服务(如 Amazon Athena、Amazon OpenSearch Service 和 Amazon SageMaker)外,Security Lake 还可采用 AWS 合作伙伴解决方案,获得有关安全事件的更多见解。
Well-Architected 支柱
当您在云中构建系统时,AWS Well-Architected Framework 可以帮助您了解所做决策的利弊。框架的六大支柱使您能够学习设计和操作可靠、安全、高效、经济高效且可持续的系统的架构最佳实践。使用 AWS 管理控制台中免费提供的 AWS Well-Architected Tool,您可以通过回答每个支柱的一组问题,根据这些最佳实践来检查您的工作负载。
上面的架构图是按照 Well-Architected 最佳实践创建的解决方案示例。要做到完全的良好架构,您应该遵循尽可能多的 Well-Architected 最佳实践。
-
卓越运营阅读《卓越运营》白皮书
ElastiCache 可简化云端内存缓存的部署、操作和扩展。ElastiCache 是一项托管服务,因此 AWS 将负责 Redis 的运营方面,包括硬件预置、软件补丁、水平和垂直扩缩、引擎版本升级、自动备份和监控。
-
安全性阅读《安全性》白皮书
Security Hub 为您提供一个集中位置来查看和管理多个 AWS 账户和服务的安全警报、调查发现和建议。本指南中的 Security Hub 根据 AWS 和第三方来源的分析,提供托管的威胁情报,以识别已知的不良行为者。
-
可靠性阅读《可靠性》白皮书
Amazon RDS 可自动将数据库备份到 Amazon S3。这其中包括每日快照和每 5 分钟捕获一次的事务日志,有助于灾难恢复。本指南还使用多可用区(AZ)Amazon RDS 数据库实例实现自动失效转移到其他可用区的备用副本。如果出现可用区故障,这可以最大限度地减少停机时间。
-
性能效率阅读《性能效率》白皮书
Amazon EKS 提供 Amazon CloudWatch 指标,用于监控整体集群运行状况、资源利用率、应用程序性能和瓶颈。除了缓存、网络、安全和监控服务外,Amazon EKS 还与 Amazon S3 和 Amazon RDS 紧密集成。这种集成可以帮助您满足扩展、流量管理和数据访问模式方面的工作负载要求。
-
成本优化阅读《成本优化》白皮书
由 Amazon S3 驱动的数据湖提供了一种可长久使用且成本低廉的方式,能够以较低的成本长期存储来自指南的大量日志、数据包捕获和取证数据。此外,分析存储指标和访问模式可以帮助您更好地了解资源使用情况,从而在优化经常访问的“热”数据与使用成本较低的“冷”数据存档方面做出明智的决策。
-
可持续性阅读《可持续性》白皮书
Amazon RDS 可让您根据实际使用数据轻松调整数据库实例类型和存储的大小,从而帮助您防止过度预置。此外,Amazon S3 还提供可长久使用的存储,减少了指南为实现冗余而必须复制数据的频率。
实施资源
提供了在 AWS 账户中进行实验和使用的详细指南。构建指南的每个阶段(包括部署、使用和清理)都将被检查,以便为部署做好准备。
示例代码为起点。它经过行业验证,是规范性但不是决定性的,可以帮助您开始。
免责声明
示例代码;软件库;命令行工具;概念验证;模板;或其他相关技术(包括由我方人员提供的任何前述项)作为 AWS 内容按照《AWS 客户协议》或您与 AWS 之间的相关书面协议(以适用者为准)向您提供。您不应将这些 AWS 内容用在您的生产账户中,或用于生产或其他关键数据。您负责根据特定质量控制规程和标准测试、保护和优化 AWS 内容,例如示例代码,以使其适合生产级应用。部署 AWS 内容可能会因创建或使用 AWS 可收费资源(例如,运行 Amazon EC2 实例或使用 Amazon S3 存储)而产生 AWS 费用。
本指南中提及第三方服务或组织并不意味着 Amazon 或 AWS 与第三方之间存在认可、赞助或从属关系。AWS 的指导是一个技术起点,您可以在部署架构时自定义与第三方服务的集成。